Leere Deine temporary internet files und vorbei iss es damit.
Im Übrigen: mach Dir über die Frage von Shadowdance Gedanken...
cacatoa

ja toll, bin voll der newbie in diesen sachen. is das nun gut oder schlecht das die fehlt?

sag mir lieber wo die Datei "win32.dll.exe" abgeblieben ist .. wenn Du sie noch auf dem System hast, und sie der 'W32/Spybot.worm.gen.b' ist, für den ich sie eingangs gehalten habe, hast Du einen sehr gefährlichen Backdoor auf dem System:

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung

über start/suchen find ich nix

Die SOPHOS Virusinformation zu Troj/Loony-J:

"Troj/Loony-J ist ein Windows-Backdoortrojaner, der unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht.

Wenn er gestartet wird, verschiebt sich der Trojaner als windll32.exe in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, damit er bei der Computeranmeldung gestartet wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
windll32 Driver
windll32.exe

Troj/Loony-J kann ebenfalls eine gefälschte Fehlermeldung mit dem Titel "Error-348" und dem Text "Runtime Link not found" anzeigen.

Sobald er installiert ist, versucht Troj/Loony-J, einen SOCKS4-Server einzurichten, CD-Schlüssel zu stehlen und Dateien aus dem Internet herunterzuladen und zu starten, sofern er die entsprechenden Anweisungen von einem remoten Angreifer erhält."

Ich schau mich mal um, ob dieser Backdoor die Fähigkeit hat, zu verschwinden .. zuzutrauen ist es ihm ... wenn jemand auf Deinen Rechner Zugriff hat, kann er die Datei umbenennen ...

hatte win32dll.exe im zonealarm jeglichen zugriff verweigert. das aber schon länger.

Loony-J remover mal laufen lassen?

ok ich denke ich weiß jetzt was win32.dll.exe ist.
es ist der Win32.HLLM.Bihup wurm.
der wurm ist aber ziemlich witzlos, denn er führt nur sehr seltsame dinge aus wie dass es an Donnerstagen eine meldung in koreanisch "Message from a" schreibt. ist der wurm am dezember angekommen und hat die liste durch, deaktiviert er sich selbst.
er ist allerdings so wenig bekannt, das man nur entfernt was von ihm findet.
kann aber sein das ich mich irre und es doch was anderes ist.

er heisst aber windll32.exe...

das ist ein gewaltiger unterschied @rtfm also ist es der nicht gut^^
hm jep lass das tool mal laufen.
argh ich hab schon wieder was neues rausgekriegt.
unter windll32.exe stecken die verschiedensten würmer oder spywares.
es gibt 3 möglichkeiten:
-entweder es ist der Trojan.Win32.MSN.Ikmet.c
-oder es ist der W32.HLLW.Astef
-oder es ist loony-J

wenn das loonytool den nicht finden kann sind nurnoch die oberen möglichkeiten möglich.

Zitat:

Zitat von rtfm

Loony-J remover mal laufen lassen?

unter welchem Link findest Du ein Removal Tool dafür? Du kannst es versuchen .. aber ob Dein System noch sicher ist, gesetzt den Fall, Du hast diesen Backdoor auf dem System ...

hatte eben gedacht das ich ein tool dafür gesehen hatte. war aber was anderes. ich lösch die hjt backups jetzt noch und den quarantäne ordner. wenn ihr noch weitere infos findet zum windll32.exe dann postet es hier. ich bin dann im bett. vielen, vielen dank bis hierher. hat mich schon mal ein stück voran gebracht das ganze. melde mich morgen wieder. werde euch weiter empfehlen!

@shadowdance ich würde nicht so sicher sein. es gibt noch 2 andere möglichkeiten was es sein kann. aber du hast recht, ist dieser backdoor auf dem system is sein system nicht mehr als sicher einzuschätzen.

@rtfm lass mal das removal tool laufen.

@ rtfm:
Wenn es Troj/Ikmet-A wäre, hättest du als Startseite w*w.picturecentre.com gehabt.
Troj/Loony-J erstellt folgenden Registrierungseintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
windll32 Driver
windll32.exe
Wenn es BackOrifice ist, dann trifft folgendes zu: Das da
Die Loony fallen alle unter den Sammelnamen W32/SpybotWorm gen.b.
cacatoa